移动安全 安全管理 应用案例 网络威胁系统安全 应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 系统安全 >

IPv6和谈面对的收集安然隐患阐发

时间:2013-08-02 10:31来源:TuZhiJiaMi企业信息安全专家 点击:
IPv4和谈是在1975年推出,因为其内涵的开放性和不竭更新而遭到开辟人员和用户的欢迎,成了互联网的通用和谈。跟着互联网的敏捷成长,IPv4定义的有限地址空间耗损速度正在逐年加快,当然
Tags系统安全(735)网络安全隐患(2)IPV6协议(3)  

  IPv4和谈是在1975年推出,因为其内涵的开放性和不竭更新而遭到开辟人员和用户的欢迎,成了互联网的通用和谈。跟着互联网的敏捷成长,IPv4定义的有限地址空间耗损速度正在逐年加快,当然采纳了良多节俭地址的编制(如子网划分手艺、NAT地址转换、保留IP地址等),但遵循互联网此刻的成长速度,IPv4地址将被分派终了。

IPv6和谈面对的收集安然隐患阐发

  IPv4 和谈本身也存在着诸多安然缺点:第一,很等闲被***和棍骗。大年夜大都因特网上的流量是没有加密的。电子邮件口令、文件传输很等闲被监听和劫持。第二,建设的复杂性。拜候节制的建设十分复杂,很等闲被弊端建设,从而给黑客以可乘之机。第三,贫乏安然策略。良多站点在防火墙建设上无意识地扩大年夜了拜候权限,忽视了这些权限可能会被内部人员滥用。

  IPv6 和谈的特点与安然性

  IPv6是由互联网工程任务组(IETF)设计的用来替代现行的IPv4和谈的一种新的IP和谈,与IPv4比拟,IPv6在收集保密性、完全性方面有了更好的改进,在可控性、抗否定性方面有了新的包管,IPv6和谈的首要特点为:

  1、扩大的地址和路由选择功能。IP地址长度由32位增加到128位,可撑持数量大年夜良多的可寻址节点、更多级的地址层次和较为简单的地址主动建设。

  2、真正地实现无状况地址主动建设。大年夜容量的地址空间可以或许真正实现无状况地址主动建设,使IPv6终端可以或许快速连接到收集上,无需人工建设,实现了真实的即插即用。

  3、简化的首部格局。IPv4首部的某些字段被打消或改成选项,以削减报文。分组措置过程中常常利用环境的措置费用,并使得IPv6首部额带宽开消尽可能低,虽然地址长度增加了。

  4、撑持扩大首部和选项。IPv6的选项放在伶仃的首部中,位于报文分组中IPv6首部和传送层首部之间。IPv6的另外一改进,是其选项与IPv4不合,可具有肆意长度,不限于40字节。

  5、撑持验证和隐私权。IPv6定义了一种扩大,可撑持权限验证和数据完全性。这一扩大是IPv6的根基内容,要求所有的实现必需撑持这一扩大。IPv6还定义了一种扩大,借助于加密撑持保密性要求。

  6、办事质量能力。IPv6增加了一种新的能力,假定某些报文分组属于特定的工作流,发送者要求对其赐与特别措置。

  IPv6经由过程IPSec和谈来包管IP 层的安然。IPSec是IPv6的一个构成部门。当然在实现IPv6时必需要实现IPSec和谈,但利用时其实不必然要利用它,IPv6和谈把认证头部(AH)和封装安然净荷头部(ESP)作为两个可选的扩大头部。是以,本质上IPv6其实不克不及比IPv4带来更高的安然性。

  虽然IPv6和谈采纳了诸如撑持验证和隐私权之类安然办法。可是IPv6也不成能完全解决所有收集安然标题问题,同时还会伴随其产生新的安然标题问题,它的利用也给现行的收集系统带来了新的要乞降挑战。在扶植IPv6收集的时辰,需要周全考虑收集的安然标题问题。

  IPv6收集存在的安然隐患

  IPv4向IPv6过渡手艺的隐患

  在IPv4到IPv6收集演进过程中,首要应解决两类标题问题:1. IPv6孤岛互通手艺:实现IPv6收集与IPv6收集的互通标题问题;2. IPv6与IPv4互通手艺。实现两个不合收集之间彼此拜候资本。对此,今朝已推出了16种过渡手艺,此中最根基的过渡手艺包含双栈手艺和地道手艺。

  双和谈栈会带来新的安然标题问题,对同时撑持IPv4和IPv6的主机,黑客可以同时用两种和谈进行调和报复打击,发现两种和谈中存在的安然弱点和缝隙,或操纵两种和谈版本中安然设备的调和不足来回避检测。并且双和谈栈中一种和谈的缝隙会影响另外一种和谈的正常工作。因为地道机制对任何来历的数据包只进行简单的封装和解封,而不合弊端IPv4和IPv6地址的关系做严格的查抄,所以地道机制的引进,会给收集安然带来更复杂的标题问题,也较多的呈现安然隐患。

  IPv6中组播手艺缺点的隐患

  组播报文是经由过程UDP(用户数据报和谈)进行传输的,所以它贫乏TCP(传输节制和谈)所供给的靠得住传输的功能。组播的开放性使通信数据贫乏奥秘性和完全性的安然呵护,而IPv6组播所需的MLD等组播保护和谈不克不及知足安然的需要。IP 组播利用UDP,任何主机都可以向某个组播地址发送UDP包,并且低层组播机构将传送这些UDP包到所有构成员。因为在IPv6组播通信中,任何成员都可以操纵MLD报文要求临近的路由加进组播群组,组播加进成员的束缚机制很匮乏,没法包管通信的奥秘性,是以,对奥秘数据的***将很是等闲。

  无状况地址主动建设的隐患

  经由过程ND和谈实现IPv6节点无状况地址主动建设,实现了IPv6节点的即插即用,具有IPv6联网的易用性和地址治理的便利性。同时也带来了一些安然隐患:起首,对路由器发现机制,主如果经由过程路由器RA报文来实现。歹意主机可以假充合法路由器发送捏造的RA报文,在RA报文中点窜默许路由器为高优先级,使IPv6节点在本身的默许路由器列表当选择歹意主机为缺省网关,从而达到中间人报复打击的目标。其次,对反复地址检测机制,IPv6节点在无状况主动建设链路本地或全局单播地址的时辰,需先设置地址为姑且状况,然后发送NS报文进行DAD检测,歹意主机这时候可以针对NS要求报文发送假充的NA响应报文,使IPv6节点的DAD检测不成功,从而使IPv6节点遏制地址的主动建设过程。最后,针对前缀从头编址机制,歹意主机经由过程发送假充的RA布告,从而造成收集拜候的间断。

  邻居发现和谈的隐患

  在主动地址建设中, 邻居发现和谈(NDP)是基于IP的和谈布局,用来完成邻居可达性检测、链路地址解析、路由及收集前缀发现、流量重定向和DOA检测等链路机制。报文身份的可辨别性是NDP和谈的首要安然需求,而哄骗报文报复打击是其所而临的首要安然威胁。报复打击者只要仿造节点不成达信息和反复地址检测,进行DoS报复打击,或传播子虚的路由响应和重定向报文,就可以拐骗收集流量。

  IPv6中PKI治理系统的隐患

  IPv6收集治理中PKI治理是一个悬而未决的标题问题,必需要起首考虑PKI系统本身的安然性。在利用上存在一些需要解决的首要标题问题: 必需解决数字设备证书与密钥治理标题问题;IPv6收集的用户数量复杂年夜,设备范围巨大年夜,证书注册、更新、存储、查询等把持频繁,因而要求PKI可以或许知足高拜候量的快速响应并供给及时的状况查询办事;IPv6中认证实体范围巨大年夜,纯真依托治理员手工治理将不克不及适应实际需求,同时为了保障企业中其他办事器的安然,要拟定严格而合理的拜候节制策略,来掌控各类用户对PKI系统和其他办事器的拜候。

  移动IPv6的隐患

  移动计较与通俗计较的环境存在较大年夜的辨别,如大都环境移动计较是在无线环境下,等闲遭到***、重发报复打击和其他主动报复打击,且移动节点需要不竭更改通信地址,是以,其和谈架构的复杂性,使得移动IPv6的安然性标题问题凸显。

  IPv6的安然机制对收集安然系统的挑战隐患

  第一,由收集层的传输中采取加密编制带来的隐患阐发。1. 针对暗码的报复打击,对一些老版本的把持系统,有的组件不是在验证收集传输标识信息时进行信息呵护,因而,***者可以捕获有效的用户名及其暗码,掌控合法用户权限,进进机械内部粉碎。2. 针对密钥的报复打击,IPv6下,IPSec的两种工作模式都要互换密钥,一旦报复打击者破解到准确的密钥,便可以获得安然通信的拜候权,监听发送者或领受者的传输数据,乃至解密或窜改数据。3. 加密耗时太长激发的DoS报复打击,加密需要很大年夜的计较劲,假定黑客向方针主机发送大年夜范围看似合法事实上倒是肆意填充的加密数据包,方针主机将破钞大年夜量CPU时候来检测数据包而没法回应其他用户的通信要求,造成DoS。第二,对传统防火墙的冲击,现行的防火墙有三种根基类型,即包过滤型、代办署理办事器型和复合型。此中代办署理办事器型防火墙工作在利用层,受IPv6的影响较小,别的两种防火墙都将遭到巨大年夜冲击。第三,对传统的进侵检测系统的影响,进侵检测(IDS)是防火墙后的第二道安然保障。基于收集IDS可以直接从收集数据流中捕获其所需要的审计数据,从中检索可疑行动。可是,IPv6数据已颠末加密,假定黑客操纵加密后的数据包实施报复打击,基于收集IDS就很难检测到任何进侵行动。

  IPv6编址机制的隐患

  IPv6中流量***将成为报复打击者安然阐发的首要路子,面对复杂年夜的地址空间,缝隙扫描、歹意主机检测等安然机制的摆设难度将激增。IPv6引进了IPv4兼容地址、本地链路地址、全局聚合单播地址和随机生成地址等全新的编址机制。此中,本地链路地址可主动按照收集接口标识符生成而无需DHCP主动建设和谈等外部机制干涉干与,实现不成路由的本地链路级端对端通信,是以移动的歹意主机可以随时连进本地链路,不法拜候乃至是报复打击相邻的主机和网关。

  本文从IPv4向IPv6过渡手艺,IPv6中组播手艺缺点,无状况地址主动建设,邻居发现和谈,IPv6中PKI治理系统,移动IPv6,IPv6的安然机制对收集安然系统的挑战和IPv6编址机制等8个方面指出了IPv6收集存在的安然隐患。申明IPv6收集在安然方面还远没有达到我们期看的高度。需要在IPv6收集的奉行与利用中不断改进与完美。

  对计较机收集来讲,安然永久只是相对的。新的手艺只能临时解决今朝的安然标题问题,但新一轮的标题问题又会接踵而来。会商IPv6收集安然隐患的目标在于我们要提早认清IPv6存在的安然隐患,未雨绸缪,防患于未然。在IPv6收集的利用中不断改进、慢慢进步,才能令人们最终具有一个高效、安然的下一代互联网。

------分隔线----------------------------

推荐内容